package logic

import (
	"context"
	"strconv"

	"probe-users/internal/errorx"
	"probe-users/internal/svc"
	"probe-users/internal/utils"
	"probe-users/pb/users"

	"github.com/pkg/errors"
	"github.com/zeromicro/go-zero/core/logx"
)

type GetRolePermissionsLogic struct {
	ctx    context.Context
	svcCtx *svc.ServiceContext
	logx.Logger
}

func NewGetRolePermissionsLogic(ctx context.Context, svcCtx *svc.ServiceContext) *GetRolePermissionsLogic {
	return &GetRolePermissionsLogic{
		ctx:    ctx,
		svcCtx: svcCtx,
		Logger: logx.WithContext(ctx),
	}
}

// 查询接口
func (l *GetRolePermissionsLogic) GetRolePermissions(in *users.GetRolePermissionsRequest) (*users.GetRolePermissionsResponse, error) {
	// 参数验证
	if err := l.validate(in); err != nil {
		return nil, err
	}

	// 解析Token
	claims, err := utils.ParseToken(in.Token, l.svcCtx.Config.JWTAuth.AccessSecret)
	if err != nil {
		return nil, err
	}

	// 检查权限：管理员可以查询所有角色权限，普通用户只能查询自己角色的权限
	roleID := in.RoleId
	if roleID != claims.RoleId {
		// 非自身角色，需要管理员权限
		hasPermission, err := l.svcCtx.Enforcer.Enforce(strconv.FormatInt(claims.RoleId, 10), "role", "query_permission:other")
		if err != nil {
			return nil, errors.Wrapf(err, "检查权限失败")
		}
		if !hasPermission {
			return nil, errorx.ErrPermissionDenied
		}
	}

	// 检查角色是否存在
	_, err = l.svcCtx.RoleModel.FindOne(roleID)
	if err != nil {
		return nil, errors.Wrapf(err, "查询角色失败: %d", roleID)
	}

	// 查询角色的所有权限
	policies, err := l.svcCtx.Enforcer.GetPermissionsForUser(strconv.FormatInt(roleID, 10))
	if err != nil {
		return nil, errors.Wrapf(err, "查询角色权限失败: %d", roleID)
	}

	// 转换为响应格式
	permissions := make([]*users.Permission, 0, len(policies))
	for _, policy := range policies {
		// policy格式：[role_id, obj, act]
		if len(policy) >= 3 {
			permissions = append(permissions, &users.Permission{
				Obj: policy[1],
				Act: policy[2],
			})
		}
	}

	return &users.GetRolePermissionsResponse{
		Permissions: permissions,
	}, nil
}

func (l *GetRolePermissionsLogic) validate(in *users.GetRolePermissionsRequest) error {
	if in.Token == "" {
		return errorx.ErrTokenNotEmpty
	}
	if in.RoleId <= 0 {
		return errorx.ErrRoleIdInvalid
	}
	return nil
}
